【CTF】buuctf web(二)——[护网杯 2018]easy_tornado

最新推荐文章于 2024-03-29 12:54:37 发布
最新推荐文章于 2024-03-29 12:54:37 发布
阅读量724 收藏 3
点赞数
分类专栏: buuctf 文章标签: 前端 tornado 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52923241/article/details/119296442
版权

[护网杯 2018]easy_tornado

首先出来三个链接
在这里插入图片描述查看flag.txt
在这里插入图片描述提示flag在/fllllllllllllag中
OK,知道了第一个条件,filename=/fllllllllllllag
查看welcome.txt
在这里插入图片描述查看hints.txt
在这里插入图片描述
分析一下
在这里插入图片描述
这里有两个参数,第一个参数filename,文件的名称,我们通过查看flag.txt文件知道,藏flag的文件名为fllllllllllllag;第二个参数filehash,翻译一下:文件哈希,也就是加密了

加密方法在第三个文件中md5(cookie_secret+md5(filename)),将cookie_secret+filename的值md5加密后的值,整体再md5加密;然后把最后的值赋给filehash

现在最重要的一步就是获取cookie_secret的值,这个我不会。看一下大佬们怎么做

在试的过程中,尝试只输入filename的值而忽略filehash,结果出来以下内容,URL变成/error?msg=Error
在这里插入图片描述我们前面忽视了第二个文件内容render。我以为只是个没用的信息,结果一查,还是个挺重要的东西,怪我见得太少

render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 ,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。
Tornado是一种 Web 服务器软件的开源版本。Tornado 和现在的主流 Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。

以上是我的分析过程,下面看一下大佬的解法

由于是python的一个模板,首先想到的就是模板注入{{}},最终找到的位置是报错网页(随便访问一个文件是更改它的签名就可以进入),里面的参数msg。
render是模板注入,经过测试发现过滤了。构造payload:/error?msg={{1*2}}

在这里插入图片描述

在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量

构造payload/error?msg={{handler.settings}}

在这里插入图片描述
找到cookie_secret为6e6e371d-7445-46db-8066-46e0e25c8b7a

filename的值md5加密后为3bf9f6cf685a6dd8defadabfb41a03a1
cookie_secret+filename加密后的值为9ff081746c35f525a315a313ac1a00d8
构造payload:/file?filename=/fllllllllllllag&filehash=9ff081746c35f525a315a313ac1a00d8

在这里插入图片描述

吃_早餐
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[护网 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 641
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
BUUCTF WEB [护网 2018]easy_tornado
Y1da的博客
04-17 641
BUUCTF WEB [护网 2018]easy_tornado 进入环境,发现三个文件 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 根据题目提示可知,题目环境使用python tornado模板渲染搭建,flag文件名为fllllllllllllag。观察URL可知,访问文件需要提交文件名filename和利用cooki
[护网 2018]easy_tornado
m0sway的博客
03-30 192
BUU CTF [护网 2018]easy_tornado WriteUp
[护网 2018]easy_tornado(wp)
最新发布
wikey 的博客
03-29 890
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。除此之外,在Twig模板引擎里,,{{var}} 除了可以输出传递的变量以外,还能执行一些基本的表达式然后将其结果作为该模板变量的值。msg={{1}},输出1,可以确定是模板注入。render渲染函数。
CTF-WEB学习-模板注入-[护网 2018]easy_tornado
qq_43564182的博客
07-04 427
CTF-WEB学习-模板注入-[护网 2018]easy_tornado 文章目录CTF-WEB学习-模板注入-[护网 2018]easy_tornado解题网页中出现cookie: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210704232702503.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0
BUUCTF[护网 2018]easy_tornado1-write up
m0_62851980的博客
04-23 879
知识点: SSTI(模板注入),render函数,Tornado框架(知识点在最后) 打开靶机,看到三个链接: 分别点进去: 注意每个链接的url: /file?filename=/xxx&filehash=32位MD5 根据flag.txt和hint.txt提示url的形式为:文件名+32位MD5 再看hint.txt的提示:md5(cookie_secret+md5(filename))。明显我们要先找到cookie_secret进行MD5加密,再和进行MD5加密后输入的文
【HackPack CTFWEB——持续更新中
12-21
题目地址 ...打开是酱紫 sui便打开一个404找不到 先演示错误思路: Plan A.... 上bp抓包,Ctrl + I,爆破点为/后的数字比如1,sniper狙击手模式, ...playload 用runtime file ...换思路,找宝藏,要想有地图,hi
2018上海CTF“骇极”逆向WP
11-12
2018上海CTF“骇极”逆向WP2018上海CTF“骇极”逆向WP
CTF_Web_docker:CTF_Web的码头工人
05-14
CTF_Web_dockerCTFWeb和Bin最大的区别在于,一旦比赛结束,Web选手就抓瞎了,没办法复现EXP。因此,打算收集整理一些自己做的Web题环境,方便复现。Enjoy it.
ctf+web安全+任意文件上传+任意文件下载
10-08
ctf+web安全+任意文件上传+任意文件下载
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
buu-[网鼎 2020 半决赛]AliceWebsite
qaq517384的博客
10-25 324
打开环境,更换页面时有个action 嗯,朴实无华,没有过滤的文件包含,真好
[护网 2018]easy_tornado 1
weixin_45674567的博客
06-01 2861
点击/flag.txt,说明flag在 /fllllllllllllag 里。 点击/welcome.txt,render()函数是渲染函数,进行服务器端渲染。 点击/hints.txt,出现: reader()函数联想到模板注入:±*/等符号,都被过滤,^没被过滤,成功回显 根据: 搜素百度得Tornado框架的附属文件handler.settings中存在cookie_secret 尝试:error?msg={{handler.settings}} 得到 结合之前访问/flag.txt、/we..
BUUCTF-easy_tornado
wuerror的博客
07-07 3620
这题是2018护网原题的复现。 进去之后显示三个txt,每个点进去看看。内容如下: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url,发现web9.buuoj.cn/file?filename=/flag.txt&fil...
2018护网第一场 web easy tornado LTshop超详细解答
iamsongyu的博客
10-24 4840
easy tornado 这个tornado是一个python的模板,在web使用的时候给出了四个文件,可以访问,从提示中和url中可以看出,访问需要文件名+文件签名(长度为32位,计算方式为md5(cookie_secret + md5(filename)));  flag文件名题目已给出 /fllllllllllag         题目关键为如何获取cookie,在Bp抓包的情况下没有显...
BUCCTF学习笔记-easy_tornado
weixin_42271850的博客
03-14 511
BUCCTF学习笔记-easy_tornado 时间:20020/03/14 考点:模板注入、tornado框架 打开页面发现有三个链接 /flag.txt 显示 flag in /fllllllllllllag /welcome.txt 显示 render /hints.txt 显示 md5(cookie_secret+md5(filename)) URL 都显示参数 filename=...
BUUCTF web easy_tornado
H4ppyD0g的博客
09-19 753
网站存在以下三个目录 /flag.txt flag in /fllllllllllllag /welcome.txt render 知识点1: render是python中的一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面。 /hints.txt md5(cookie_secret+md5(filename)) 随便点进去一个,发现url变为?filename=/hin...
BUUCTFeasy_tornado
qq_40646572的博客
05-15 892
打开题目网站,发现存在三个文件,都打开看了下,在hint.txt文件中发现提示。 在flag.txt文件中也有提示flag在/fllllllllllllag文件中。 整理下思路,这道题其实关键点在于hint.txt文件中的cookie_secret值。 但考虑到题目名中包含tornado这个关键词,百度下发现这是一个python的web框架,搜索下是否存在可以读取配置文件的漏洞,发现这个框架存在可以读取配置文件的漏洞。 想到还有一个welcome.txt文件,上面提示到render,渲染。想到ss..
buuctf [第五章 ctf之re章]easy_rust 高级语言逆向wp
09-17
在这个buuctfEasy Rust高级语言逆向题目中,我们需要对给定的Rust语言程序进行逆向分析,并找到程序的存放在flag变量中的答案。 首先,我们需要使用Rust编译器将给定的源代码进行编译。然后,我们可以使用静态分析和动态调试的方法来分析程序的行为。 通过分析程序的源代码,我们可以看到在main函数中,程序会读取一个名为input的字符串,并将它与一组数字进行逐个比较。如果比较结果为真,程序会将对应位置的flag字符进行替换。 为了分析比较的逻辑,我们可以使用动态调试的工具,如GDB。在GDB中,我们可以在比较之前的位置设置一个断点。然后,我们可以逐步执行程序,并观察变量的值来分析比较的逻辑。 在此题中,我们可以发现比较的逻辑为input[i] == flag[i] + 5。这意味着,我们需要将输入字符串中的每个字符和flag中的每个字符进行比较,比较结果为真则通过。 再进一步观察flag变量,我们会发现flag的初始值为"aaaaaa"。由于我们需要找到正确的flag,我们可以把它作为初始值来尝试不断的迭代,直到找到符合比较逻辑的正确flag。 综上所述,我们可以编写一个脚本来尝试不同的flag值,并与给定的input进行比较,直到找到正确的flag。最后,我们将找到的flag flag{r3v3r53_mUST_8E_"aI1_DONE"} 总结起来,buuctfEasy Rust高级语言逆向题目通过分析Rust程序的源代码和使用动态调试工具,以及编写一个脚本来找到正确的flag值。通过理解比较逻辑和尝试不同的可能性,我们可以成功地完成这个题目。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值